Група хакерів, відома як Secret Blizzard, має тісні зв’язки з Федеральною службою безпеки Росії та використовує державну систему перехоплення зв’язку для проведення кібершпигунських атак на посольства в Москві.
Цю інформацію оприлюднив звіт Microsoft Threat Intelligence 31 липня 2025 року.
Згідно з даними Microsoft, команда Secret Blizzard (інша назва - Turla) реалізувала масштабну кампанію кібершпигунства, націлену на іноземні дипломатичні установи в Москві. Хакери отримали доступ до російських провайдерів інтернету та використали їхню інфраструктуру для перехоплення трафіку дипломатичних організацій.
Експерти виявили, що атака виконувалася за допомогою техніки "зловмисник посередині" Adversary-in-the-Middle (AiTM), що дозволяє втручатися в комунікацію між жертвою та сервером для перехоплення даних.
Під час кампанії хакери інсталювали на пристрої дипломатів шкідливий софт ApolloShadow, який дозволяв здійснювати "атаку на зниження HTTPS" (TLS/SSL stripping), відкриваючи зашифрований трафік жертв, включаючи логіни, паролі та іншу конфіденційну інформацію.
Крім того, ApolloShadow встановлював на пристрої довірений кореневий сертифікат від "Лабораторії Касперського", який системи жертв вважали безпечним, що дозволяло хакерам створювати ілюзію надійного з’єднання навіть із фальшивими або зараженими сайтами. Таким чином, угруповання отримало тривалий контроль над пристроями іноземних дипломатів.
Експерти вважають, що ключову роль у цій масштабній кібератаці відіграла російська державна система СОРМ, яка дозволяє правоохоронним органам перехоплювати інтернет-трафік у реальному часі.
Secret Blizzard було ідентифіковано Агентством з кібербезпеки США (CISA) як підрозділ "Центру 16" ФСБ, що є однією з провідних державних хакерських груп у світі та систематично використовується Росією в кібервійнах і кампаніях впливу.
